A agência de segurança cibernética e infraestrutura dos EUA (CISA) emitiu na terça-feira, oito avisos de Sistemas de Controle Industrial (ICS) alertando para falhas críticas que impactam os equipamentos da Delta Electronics e Rockwell Automation.
VEJA TAMBÉM: Melhores práticas para segurança ICS e OT
Segundo a agência, foram identificadas 13 vulnerabilidades de segurança no software InfraSuite Device Master da Delta Electronics, um sistema de monitoramento de dispositivos em tempo real. Todas as versões anteriores a 1.0.5 são afetadas pelas falhas.
De acordo com a CISA, as vulnerabilidades podem permitir que um invasor não autenticado acesse arquivos e credenciais, aumente privilégios e execute códigos arbitrários remotamente. Entre as falhas críticas, a CVE-2023-1133 (pontuação CVSS: 9,8) é destacada, pois o InfraSuite Device Master aceita pacotes UDP não verificados e desserializa o conteúdo, possibilitando que um invasor remoto não autenticado execute código arbitrário.
Duas outras falhas de desserialização, CVE-2023-1139 (pontuação CVSS: 8,8) e CVE-2023-1145 (pontuação CVSS: 7,8), também podem ser utilizadas para obter a execução remota de código.
A descoberta dessas vulnerabilidades foi creditada a Piotr Bazydlo e um pesquisador de segurança anônimo, que relataram as deficiências à CISA.
Outro conjunto de vulnerabilidades foi identificado no ThinManager ThinServer da Rockwell Automation, que afeta várias versões do software de gerenciamento de servidor thin client e protocolo de área de trabalho remota (RDP), incluindo as versões 6.x – 10.x, 11.0.0 – 11.0.5, 11.1.0 – 11.1.5, 11.2.0 – 11.2.6, 12.0.0 – 12.0.4, 12.1.0 – 12.1.5 e 13.0.0 - 13.0.1.
O mais grave dos problemas é a falha de passagem de dois caminhos rastreada como CVE-2023-28755 (pontuação CVSS: 9,8) e CVE-2023-28756 (pontuação CVSS: 7,5) que pode permitir que um invasor remoto não autenticado carregue arquivos arbitrários no diretório onde o ThinServer.exe está instalado.
Ainda mais preocupante, o invasor pode transformar o CVE-2023-28755 em uma arma para sobrescrever arquivos executáveis existentes com versões trojanizadas, potencialmente levando à execução remota de código.
VEJA TAMBÉM: Dicas para proteger seu Sistema de Controle Industrial utilizando Tecnologia Operacional (OT) segura
Os usuários são aconselhados a atualizar para as versões 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6 e 13.0.2 para mitigar possíveis ameaças. ThinManager ThinServer versões 6.x – 10.x foram retiradas, exigindo que os usuários atualizem para uma versão suportada.
Como solução alternativa, também é recomendado que o acesso remoto da porta 2031/TCP seja limitado a thin clients conhecidos e servidores ThinManager.
A divulgação chega mais de seis meses depois que a CISA alertou sobre uma vulnerabilidade de estouro de buffer de alta gravidade no Rockwell Automation ThinManager ThinServer (CVE-2022-38742, pontuação CVSS: 8.1) que poderia resultar na execução arbitrária de código remoto.
Proteja seus ativos OT e redes ICS com soluções OPSWAT
Os ativos OT e as redes ICS estão se tornando o novo foco dos criminosos cibernéticos, como demonstrou o recente surto de ataques de ransomware contra empresas de infraestrutura crítica. Os casos mais famosos são o da JBS que pagou US$ 11 milhões em bitcoin para os hackers e da operadora Colonial Pipeline. Para evitar que outros ataques desse tipo ocorram, são necessários sistemas de defesa robustos para proteger os ativos de OT.
O vídeo abaixo explica como as soluções OPSWAT protegem ativos de OT e redes ICS.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.